[CS] 인증 및 인가 feat. 쿠키와 세션

인증(Authentication)

• 사용자가 누구인지 확인하는 절차
• 대표적 예시 : 회원가입, 로그인

인가(Authorization)

• 사용자가 요청하는 것에 대해 권한이 있는지 확인하는 절차
• 인증(로그인) 후 데이터 요청에 대한 허가

쿠키와 세션을 통한 인증 및 인가 과정

인증 및 인가 feat. 쿠키와 세션

1. 클라이언트 : 로그인 → 서버 : 회원정보 대조 및 인증(Authentication)

2. 서버 : 회원정보를 세션 저장소에 생성 및 세션 ID 발급

3. 서버 → 클라이언트 : http response header 쿠키에 세션 ID를 포함해서 전송

4. 클라이언트 : 세션 ID를 쿠키 저장소에 보관 및 이후 http request 시 쿠키에 세션 ID를 함께 전송

5. 서버 : 쿠키와 함께 온 세션 ID에 해당하는 회원 정보를 세션 저장소에서 가져옴; 인가(Authorization)

6. 서버 → 클라이언트 : http response에 회원 정보를 바탕으로 가공된 데이터를 전송

 

장점

• 클라이언트 정보에 따라 맞춤 응답 가능
• 요청 시 세션 ID만 쿠키에 담아서 보내므로 요청 때마다 유저 정보를 쿠키에 담아서 전송하는 방식보단 안전

단점

• 서버에서 세션저장소를 사용하여 유저 데이터를 저장해야하므로 추가적인 저장공간 필요
• 악의를 가진 누군가가 노출된 세션 ID로 서버에 데이터를 요청하면 막을 방법이 없음
  • 이를 해결하기 위해 HTTPS 사용 혹은 일정 시간마다 세션 만료를 걸어두는 방법이 있음
• 세션과 쿠키를 이용한 로그인 방식은 로드 밸런싱 및 서버 효율성 관리, 확장이 어려움
  • 단순히 생각하면, 여러 대의 서버를 사용하는 시스템에선 한번 세션 ID를 저장한 서버와 계속 통신해야하기에 다소 불편함이 있을 수 있음

참고 : 서버 인증. 쿠키(Cookie), 세션(Session), 토큰(JWT)